Microsoft Defender 外部受攻擊面管理 (Defender EASM) 持續發現並繪製您的數位攻擊面,提供外部線上基礎設施的視角。 這種可視性幫助資安與 IT 團隊識別未知因素、優先排序風險、消除威脅,並將漏洞與暴露控制擴展至防火牆之外。 攻擊面洞察是透過分析漏洞與基礎設施資料產生,展現組織關注的關鍵領域。
Microsoft Security Copilot (Security Copilot) 整合Defender EASM幫助你與Microsoft發現的攻擊面互動。 識別攻擊面有助於您的組織快速了解其面向外部的基礎設施及相關且關鍵的風險。 它提供針對特定風險領域的洞見,包括漏洞、合規性及安全衛生。
欲了解更多關於 Security Copilot 的資訊,請參閱 What is Security Copilot?關於嵌入式 Security Copilot 體驗的資訊,請參見「使用 Azure Copilot 查詢你的攻擊面,使用 Defender EASM」。
開始之前的須知事項
如果你是 Security Copilot 的新手,建議閱讀以下文章來熟悉這個解決方案:
- 什麼是 Microsoft 安全性 Copilot?
- Security Copilot 體驗
- 開始使用安全性 Copilot
- 了解 Security Copilot 中的認證
- Security Copilot 中的提示
Defender EASM 中的 Security Copilot
Security Copilot 能從 Defender EASM 中提取關於貴組織攻擊面的洞察。 你可以使用 Security Copilot 內建的功能。 欲了解更多資訊,請使用Security Copilot中的提示。 這些資訊能幫助你了解安全狀況並降低漏洞。
本文將介紹 Security Copilot,並包含範例提示,幫助 Defender EASM 使用者。
重點功能
EASM Security Copilot整合能幫助你:
掌握外部攻擊面的快照,並洞察潛在風險。
您可以透過分析網路上可用的資訊,結合 Defender EASM 專有的發現演算法,快速掌握外部攻擊面。 它提供簡單易懂的自然語言說明組織對外資產,如主機、網域、網頁及 IP 位址。 它凸顯了每一項都面臨的關鍵風險。
根據資產風險及常見漏洞與暴露 (CVE) 清單項目優先排序修復工作。
Defender EASM 協助資安團隊優先處理修復工作,協助他們了解哪些資產與 CVE 在環境中構成最大風險。 它分析脆弱性與基礎設施數據,展現關鍵關注點,提供自然語言的風險說明及建議行動。
使用 Security Copilot 來挖掘洞見。
你可以使用 Security Copilot 利用自然語言詢問洞察,並從 Defender EASM 中擷取組織攻擊面的洞察。 查詢細節包括安全套接層 (SSL) 憑證的數量、偵測到的埠碼,以及影響攻擊面的特定漏洞。
加速攻擊面的管理。
使用 Security Copilot 來策劃你的攻擊面,透過標籤、外部 ID 和狀態修改來管理一組資產。 這個過程能加快策劃流程,讓你能更快更有效率地組織庫存。
啟用 Security Copilot 整合
要在 Defender EASM 中建立 Security Copilot 整合,請完成以下章節所述步驟。
必要條件
要啟用整合,你需要具備以下先決條件:
- 存取 Microsoft Security Copilot
- 啟用新連線的權限
將 Security Copilot 連接到 Defender EASM
存取 Security Copilot,並確保你已取得認證。
請選擇提示輸入列右上角的 Security Copilot 外掛圖示。
在 Microsoft 下,找到 Defender 外部受攻擊面管理。 選擇 開啟 以連接。
如果你想讓 Security Copilot 從你的 Defender EASM 資源中擷取資料,請選擇齒輪圖示以開啟外掛設定。 請使用資源中「概覽」面板中「Essentials」區塊的數值輸入或選擇數值。
注意事項
即使你還沒購買 Defender EASM,也可以使用你的 Defender EASM 技能。 欲了解更多資訊,請參閱插件功能參考。
範例 Defender EASM 提示詞
Security Copilot 主要使用自然語言提示。 當你查詢 Defender EASM 的資訊時,你會提交一個提示,引導 Security Copilot 選擇 Defender EASM 外掛並呼叫相關功能。
為了成功使用 Security Copilot 提示,我們建議以下方法:
務必在第一個提示詞中提及公司名稱。 除非另有說明,之後所有的提示都會提供最初指定的公司資料。
您的提示務必清楚且明確。 如果你在提示中加入特定的資產名稱或元資料值,例如在提示中) CVE ID,可能會有更好的結果 (。
也可以在提示中加入 Defender EASM,就像以下這些範例一樣:
- 根據 Defender EASM,我的過期網域有哪些?
- 請談談 Defender EASM 高優先攻擊面洞察。
嘗試不同的提示和變化,以查看最適合您使用案例的方式。 聊天 AI 模型各有不同,因此請根據您收到的結果來逐一查看並精簡您的提示。
安全性 Copilot 會儲存您的提示工作階段。 要查看先前的會話,請在 Security Copilot 選單中選擇「我的會話」。
如需 Security Copilot 的攻略,包括釘選與分享功能,請參閱 Navigate Security Copilot。
欲了解更多關於撰寫 Security Copilot 提示的資訊,請參閱 Security Copilot 提示提示。
插件功能參考
| 功能 | 描述 | 輸入 | Behaviors |
|---|---|---|---|
| 獲取攻擊面摘要 | 回傳客戶的 Defender EASM 資源或特定公司名稱的攻擊面摘要。 |
範例輸入: • 為 LinkedIn 取得攻擊面。 • 取得我的攻擊面。 • Microsoft 的攻擊面是什麼? • 我的攻擊面是什麼? • Azure 有哪些對外資產? • 我對外的資產有哪些? 可選輸入: • CompanyName |
如果你的外掛設定為活躍的 Defender EASM 資源,且沒有指定其他公司: • 回傳客戶 Defender EASM 資源的攻擊面摘要。 若提供其他公司名稱: • 若未找到與公司名稱完全吻合的結果,則回傳可能匹配的清單。 • 若完全匹配,則回傳公司名稱的攻擊面摘要。 |
| 獲取攻擊面洞察 | 回傳客戶的 Defender EASM 資源或特定公司名稱的攻擊面洞察。 |
範例輸入: • 為 LinkedIn 獲取高優先級攻擊面洞察。 • 獲取我高優先級攻擊面的洞察。 • 為 Microsoft 獲取低優先權攻擊面洞察。 • 獲取低優先權攻擊面洞察。 • 我在 Azure 外部攻擊面中是否存在高優先級的漏洞? 所需輸入: • PriorityLevel (優先權等級必須是高、中或低;若未提供,則預設為高) 可選輸入: • CompanyName (公司名稱) |
如果你的外掛設定為活躍的 Defender EASM 資源,且沒有指定其他公司: • 回傳客戶 Defender EASM 資源的攻擊面洞察。 若提供其他公司名稱: • 若未找到與公司名稱完全吻合的結果,則回傳可能匹配的清單。 • 若完全匹配,則回傳公司名稱的攻擊面洞察。 |
| 讓資產受到 CVE 的影響 | 回傳受 CVE 影響的資產,無論是客戶的 Defender EASM 資源或特定公司名稱。 |
範例輸入: • 取得受 CVE-2023-0012 影響的 LinkedIn 資產。 • 哪些資產受 Microsoft CVE-2023-0012 影響? • Azure 的外部攻擊面是否受到 CVE-2023-0012 的影響? • 取得受CVE-2023-0012影響的攻擊面資產。 • 哪些資產受CVE-2023-0012影響? • 我的外部攻擊面是否受到CVE-2023-0012的影響? 所需輸入: • CveId 可選輸入: • CompanyName |
如果你的外掛設定為活躍的 Defender EASM 資源,且沒有指定其他公司: • 若外掛設定未填寫,請大方地失敗並提醒客戶。 • 若外掛設定已填寫,則回傳受CVE影響的資產,為客戶的Defender EASM資源提供資料。 若提供其他公司名稱: • 若未找到與公司名稱完全吻合的結果,則回傳可能匹配的清單。 • 若完全匹配,則回傳受CVE影響的資產,針對特定公司名稱。 |
| 讓資產受到CVSS影響 | 回傳受 CVSS) (共同漏洞評分系統影響的資產,該分數可為客戶的Defender EASM資源或特定公司名稱。 |
範例輸入: • 將受 LinkedIn 攻擊面中高優先 CVSS 分數影響的資產。 • 有多少資產對 Microsoft 擁有關鍵的 CVSS 分數? • 哪些資產在 Azure 上有關鍵的 CVSS 分數? • 將受高優先級 CVSS 分數影響的資產納入我的攻擊面。 • 我有多少資產擁有關鍵的 CVSS 分數? • 我的哪些資產有關鍵的 CVSS 分數? 所需輸入: • CvssPriority (CVSS 優先權必須為 關鍵、 高、 中或 低) 可選輸入: • CompanyName |
如果你的外掛設定為活躍的 Defender EASM 資源,且沒有指定其他公司: • 若外掛設定未填寫,請大方地失敗並提醒客戶。 • 若外掛設定已填寫,則回傳受 CVSS 分數影響的資產,用於客戶的 Defender EASM 資源。 若提供其他公司名稱: • 若未找到與公司名稱完全吻合的結果,則回傳可能匹配的清單。 • 若完全匹配,則回傳受 CVSS 分數影響的資產。 |
| 取得過期網域 | 回傳客戶的 Defender EASM 資源或特定公司名稱的過期網域數量。 |
範例輸入: • LinkedIn 攻擊面中有多少網域過期? • 有多少資產正在使用 Microsoft 的過期網域? • 我的攻擊面中有多少網域已過期? • 我有多少資產使用了 Microsoft 的過期網域? 可選輸入: • CompanyName |
如果你的外掛設定為活躍的 Defender EASM 資源,且沒有指定其他公司: • 回傳客戶 Defender EASM 資源的過期網域數量。 若提供其他公司名稱: • 若未找到與公司名稱完全吻合的結果,則回傳可能匹配的清單。 • 若完全匹配,則回傳該公司名稱的過期網域數量。 |
| 取得過期的證書 | 回傳客戶的 Defender EASM 資源或特定公司名稱的過期 SSL 憑證數量。 |
範例輸入: • LinkedIn 有多少 SSL 憑證過期? • 有多少資產使用Microsoft過期的SSL憑證? • 我的攻擊面有多少 SSL 憑證過期? • 我的SSL憑證過期是什麼? 可選輸入: • CompanyName |
如果你的外掛設定為活躍的 Defender EASM 資源,且沒有指定其他公司: • 回傳客戶 Defender EASM 資源的 SSL 憑證數量。 若提供其他公司名稱: • 若未找到與公司名稱完全吻合的結果,則回傳可能匹配的清單。 • 若完全匹配,則回傳該公司名稱的SSL憑證數量。 |
| 取得SHA1證書 | 回傳客戶 Defender EASM 資源或特定公司名稱的 SHA1 SSL 憑證數量。 |
範例輸入: • LinkedIn 有多少張 SSL SHA1 憑證? • 有多少資產使用 Microsoft 的 SSL SHA1? • 我的攻擊面有多少張 SSL SHA1 憑證? • 我有多少資產正在使用 SSL SHA1? 可選輸入: • CompanyName |
如果你的外掛設定為活躍的 Defender EASM 資源,且沒有指定其他公司: • 回傳客戶 Defender EASM 資源的 SHA1 SSL 憑證數量。 若提供其他公司名稱: • 若未找到與公司名稱完全吻合的結果,則回傳可能匹配的清單。 • 若完全匹配,則回傳該公司名稱的 SHA1 SSL 憑證數量。 |
| 將自然語言翻譯成 Defender EASM 查詢 | 將任何自然語言問題翻譯成 Defender EASM 查詢,並回傳與查詢相符的資產。 |
範例輸入: • 哪些資產正在使用 jQuery 3.1.0 版本? • 讓我的攻擊面中開啟80端口的主機。 • 尋找我庫存中所有擁有 IP X、IP Y 或 IP Z 的頁面、主機及 ASN 資產。 • 我哪個資產的登記電子郵件是? <name@example.com> |
如果你的外掛設定為活躍的 Defender EASM 資源: • 回傳與翻譯查詢相符的資產。 |
在資源資料與公司資料之間切換
即使我們為技能加入了資源整合,我們仍支援從特定公司預先建構的攻擊面中擷取資料。 為了提升 Security Copilot 判斷客戶何時想從其攻擊面或公司預設攻擊面擷取資料的準確度,我們建議使用 my、my 攻擊面等,以傳達你想使用資源的訊息。 使用他們特定的公司名稱等,來表達你想使用預先建構的攻擊面。 雖然這種方式能提升一次會談的體驗,但我們強烈建議使用兩個獨立的會談以避免混淆。
提供意見反應
您對 Security Copilot 整體,特別是 Defender EASM 外掛的回饋,對於指導產品目前及計畫中的開發至關重要。 提供這種回饋的最佳方式是直接在產品中,使用每個完成提示底部的回饋按鈕。 選擇 「外觀正確」、「 需要改進」或 「不適當」。 我們建議你選擇 「外觀正確 」,當結果符合預期;當不符合時選擇「 需要改進 」;當結果以某種方式造成傷害時,選擇「 不適當 」。
只要可能,尤其是您選擇的結果 是需要改進,請寫幾句話說明我們可以做些什麼來改善結果。 當你預期 Security Copilot 會呼叫 Defender EASM 外掛,但實際上啟動的是另一個外掛時,這個請求同樣適用。
安全性 Copilot 中的隱私權和資料安全性
當你與 Security Copilot 互動取得 Defender EASM 資料時,Copilot 會從 Defender EASM 中擷取這些資料。 提示詞、取回的資料以及提示結果中顯示的輸出,都會被處理並儲存在 Security Copilot 服務中。
欲了解更多關於 Security Copilot 中資料隱私的資訊,請參閱 Security Copilot 中的隱私與資料安全。